VMware fordert Benutzer dringend auf, das veraltete Enhanced Authentication Plugin (EAP) zu deinstallieren, nachdem eine kritische Sicherheitslücke entdeckt wurde.
Die Schwachstelle mit dem Namen CVE-2024-22245 (CVSS-Score: 9.6) wurde als beliebiger Authentifizierungs-Relay-Bug beschrieben.
„Ein bösartiger Akteur könnte einen Ziel-Domänenbenutzer mit installiertem EAP in seinem Webbrowser dazu bringen, Service-Tickets für beliebige Active Directory Service Principal Names (SPNs) anzufordern und weiterzuleiten,“ so das Unternehmen in einer Warnmeldung.
EAP, seit März 2021 veraltet, ist ein Softwarepaket, das dazu dient, den direkten Login zu vSphere’s Management-Schnittstellen und Tools über einen Webbrowser zu ermöglichen. Es ist nicht standardmäßig enthalten und gehört nicht zu vCenter Server, ESXi oder Cloud Foundation.
Ebenfalls in demselben Tool entdeckt wurde eine Sitzungsübernahme-Schwachstelle (CVE-2024-22250, CVSS-Score: 7.8), die es einem bösartigen Akteur mit unprivilegiertem lokalen Zugriff auf ein Windows-Betriebssystem ermöglichen könnte, eine privilegierte EAP-Sitzung zu übernehmen.
Ceri Coburn von Pen Test Partners wird mit der Entdeckung und Meldung der beiden Schwachstellen in Verbindung gebracht.
Es sei darauf hingewiesen, dass die Schwachstelle nur Benutzer betrifft, die EAP zu Microsoft Windows-Systemen hinzugefügt haben, um über den vSphere Client eine Verbindung zum VMware vSphere herzustellen.
Das Unternehmen, das zu Broadcom gehört, erklärte, dass die Schwachstellen nicht behoben werden, sondern stattdessen empfohlen wird, das Plugin vollständig zu entfernen, um potenzielle Bedrohungen zu minimieren.
Die Offenlegung erfolgte, als SonarSource mehrere Cross-Site-Scripting (XSS) Schwachstellen (CVE-2024-21726) offengelegt hat, die das Joomla!-Content-Management-System betreffen. Dies wurde in den Versionen 5.0.3 und 4.4.3 behoben.
„Unzureichende Inhaltsfilterung führt zu XSS-Schwachstellen in verschiedenen Komponenten,“ sagte Joomla! in seiner eigenen Warnung und bewertet den Bug als moderat in der Schwere.
„Angreifer können die Schwachstelle nutzen, um eine Fernausführung von Code zu erreichen, indem sie einen Administrator dazu bringen, auf einen bösartigen Link zu klicken,“ sagte der Sicherheitsforscher Stefan Schiller. Weitere technische Details zu der Schwachstelle wurden aktuell nicht veröffentlicht.
In einer verwandten Entwicklung wurden mehrere Schwachstellen und Fehlkonfigurationen mit hoher und kritischer Schwere in der von Salesforce entwickelten Apex-Programmiersprache zur Erstellung von Unternehmensanwendungen identifiziert.
Im Zentrum des Problems steht die Möglichkeit, Apex-Code im „without sharing“ Modus auszuführen, der die Berechtigungen eines Benutzers ignoriert und es bösartigen Akteuren ermöglicht, Daten zu lesen oder auszulesen, sowie speziell angefertigte Eingaben bereitzustellen, um die Ausführung zu verändern.
„Wenn ausgenutzt, können die Schwachstellen zu Datenlecks, Datenkorruption und Schäden an Geschäftsfunktionen in Salesforce führen,“ sagte der Sicherheitsforscher von Varonix, Nitay Bachrach.